A Dataprev respondeu aos questionamentos do Instituto Brasileiro de Defesa do Consumidor (Idec) na última sexta-feira, 6. Em ofício enviado ao instituto, a estatal afirmou que está apta a “manter, gerir e proteger informações e sistemas” que visam melhorar a vida dos 35 milhões de segurados da previdência social brasileira e que não deve cancelar o processo licitatório para aquisição de serviços de biometrias facial e digital de seus usuários.

A companhia brasileira que gera os dados do INSS disse que não pretende impedir o processo licitatório de multibiometria, uma vez que a solução trará benefícios aos usuários, como o fato de não se deslocarem para uma agência da segurança social anualmente; e que as empresas que participam da licitação não terão acesso aos dados dos cidadãos.

Vale lembrar, o Idec solicitou ao Dataprev que parasse o processo até resolução dos vazamentos de dados de segurados do INSS no último dia 3 de setembro. Contudo, na visão da estatal, a companhia dispõe de ferramentas atuais de segurança e, não há nenhuma comprovação de que os vazamentos estejam ligados à Dataprev. “Não se mostra razoável atribuir o vazamento de dados de beneficiários do INSS a possíveis falhas de soluções tecnológicas da Dataprev, pois – como se demonstrou –  a empresa garante os níveis necessários de segurança às informações gerenciadas.  Se há eventuais vazamentos de dados e fraudes, trata-se de casos pontuais e específicos de desvio de conduta ética, o qual é alvo de enfrentamento pelas autoridades competentes, dentre elas o Ministério Público e a Polícia Federal”.

Outro lado

Procurado por Mobile Time após a Dataprev fornecer acesso ao ofício, o coordenador do programa de direitos digitais do Idec, Diogo Moyses, acredita que a resposta mostra um nível de preocupação da estatal nos tópicos de sua notificação, mas “é insuficiente” por não abordar a questão central que mobilizou o questionamento sobre a implementação de tecnologias de reconhecimento facial, que é justamente o vazamento dos dados sob a guarda do Dataprev e do INSS.

“Em nenhum momento o Idec questionou a legitimidade da empresa para implementar tal tecnologia, tampouco a sua relevância para reduzir certos tipos de fraude e desobrigar os beneficiários a comparecer anualmente às agências bancárias para a realização da chamada prova de vida. O que preocupa o Idec é a coleta e o tratamento de dados biométricos sem que os notórios vazamentos de dados dos beneficiários sejam totalmente contidos e novos procedimentos de segurança, adotados”, afirmou Moyses.

Questionado se o instituto pretende entrar com uma ação judicial contra a Dataprev, o coordenador afirmou que o tema está em discussão. Em especial pelo fato de o tratamento de dados biométricos seja precedido de respostas objetivas acerca do vazamento de dados, e implantação de processos internos que garantam “um nível de segurança muito maior” do que o atual.

LGPD e Dataprev

Um dos temas abordados na resposta da Dataprev foi sua conformidade à LGPD. Embora o Idec não tenha alertado a empresa sobre a necessidade de se adequar à lei, a estatal afirmou que vem atuando para entrar nos parâmetros da regulamentação que entra em vigor em agosto de 2020, e, se a Autoridade Nacional de Dados assim entender, eles farão o relatório de impacto à proteção de dados pessoais pedido pelo Idec na notificação original.

Em seu texto de resposta, a Dataprev explicou que usa anti DDos; firewall externo; IPS; WAF; SIEM; firewall Interno; firewall de banco de dados; e cofre de senhas como ferramentas de cibersegurança. Porém, essas tecnologias não contêm parâmetros de conformidade com a lei. Questionados por Mobile Time sobre a conformidade com a lei, a empresa enviou a seguinte nota por meio de sua assessoria de imprensa:

“A Autoridade Nacional foi citada por ser o órgão responsável por acompanhar e aplicar sanções descritas na Lei Geral de Proteção de Dados (LGPD), sancionada em agosto deste ano. Como mencionado anteriormente, a empresa vem atuando para atender aos termos da nova lei, tendo até sua entrada em vigor para adequação. Como citado no documento: caso a Autoridade Nacional entenda pela necessidade de emissão do Relatório de Impacto à Proteção de Dados Pessoais, por certo que esta Empresa, nos termos da lei, utilizar-se-á de todos os mecanismos necessários no sentido de apoiar o Controlador dos dados (INSS) nas ações indispensáveis ao seu pronto atendimento”.

Sobre as ferramentas, a Dataprev afirma que os softwares atuais da empresa “respondem a protocolos” já estabelecidos de segurança da informação, mas que estão em “aperfeiçoamento constante” na governança de dados e pretendem sempre atualizar suas ferramentas nesse sentido. Ainda afirmam que, na visão da estatal, LGPD “não se trata de ferramentas”, mas de um conjunto de processos e tecnologias que garantam privacidade, segurança da informação e governança dos dados.

LGPD e Idec

Pelo lado do Instituto Brasileiro de Defesa do Consumidor, Moyses lembrou que não adicionou a LGPD à notificação enviada na última semana por considerar que a lei ainda não está vigente (só entra em vigor em agosto de 2020) no País. Contudo, ele recordou que os legisladores que criaram a lei de proteção de dados pessoais adicionaram o relatório de impacto como “forma de garantir” que grandes processos de tratamentos de dados sejam seguros.

“Dessa forma, dada a amplitude do tratamento de dados proposto, envolvendo 35 milhões de consumidores, seria altamente salutar que esse documento fosse apresentado, até para que a sociedade tenha condições de avaliar o impacto do tratamento desses dados pela Dataprev”, afirmou o coordenador do Idec. “Consideramos que seria importante que a empresa, voluntariamente, apresentasse esse relatório, dando transparência ao processo e segurança para toda a sociedade, especialmente pelo notório e reconhecido vazamento de dados do qual o consumidor é vítima”.